Центр обновления Windows может использоваться для выполнения вредоносного кода

Вт 13 Октябрь 2020 09:25

Клиент Центра обновления Windows может быть проэксплуатирован злоумышленниками для выполнения вредоносного кода на системе в рамках метода Living off the Land (LotL).

Клиент Windows Server Update Services (WSUS)/Windows Update Client (wuauclt) представляет собой служебную программу, расположенную в %windir%\system32\, которая предоставляет пользователям частичный контроль над некоторыми функциями агента обновления Windows из командной строки. Она позволяет проверять наличие новых обновлений и устанавливать их без использования пользовательского интерфейса Windows.

Использование параметра /ResetAuthorization позволяет инициировать ручную проверку обновлений либо на локально настроенном сервере WSUS, либо через службу Windows Update.

Однако исследователь Дэвид Миддлхерст (David Middlehurst) из компании MDSec обнаружил , что wuauclt также может использоваться злоумышленниками для выполнения вредоносного кода на системах под управлением Windows 10 путем его загрузки из произвольной специально созданной DLL-библиотеки со следующими параметрами командной строки:

В базе знаний MITER ATT&CK данный метод обхода защиты классифицирован как «Выполнение подписанного двоичного прокси через Rundll32», позволяющее злоумышленникам обойти антивирусную защиту, контроль приложений и проверки цифровых сертификатов.

Исследователь безопасности также обнаружил образец, использующийся в реальных атаках.

LoLBins — исполняемые файлы, подписанные Microsoft (предварительно установленные или загруженные), которые могут использоваться злоумышленниками для избегания обнаружения при загрузке, установке или выполнении вредоносного кода. Они также могут использоваться злоумышленниками для обхода контроля учетных записей пользователей (User Account Control, UAC), контроля приложений Защитника Windows (Windows Defender Application Control, WDAC) или обеспечения персистентности на скомпрометированной системе.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 212 дней 10 часов 45 минут 44 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.